人気の高いWordPressプラグイン「All in One」に存在する2つの重大かつ深刻なセキュリティ脆弱性が判明し、300万以上のウェブサイトが乗っ取り攻撃を受けていることがわかりました。
Automattic社のセキュリティ研究者であるMarc Montpas氏によって発見・報告されたセキュリティ上の欠陥は、重大な「Authenticated Privilege Escalation」バグ(CVE-2021-25036)と、深刻度の高い「Authenticated SQL Injection」(CVE-2021-25037)です。
80万以上の脆弱なWordPressサイト
このプラグインの開発元は、2021年12月7日に両All in Oneバグに対応するセキュリティアップデートを公開しました。
しかし、パッチがリリースされてから2週間のダウンロード統計によると、同プラグインを使用している82万以上のサイトがまだインストールを更新しておらず、依然として攻撃にさらされているようです。
これらの脆弱性が非常に危険なのは、2つの脆弱性の悪用に成功するために攻撃者は認証を行う必要ですがSubscriberなどの低レベルの権限しか必要としないことです。
Subscriberは、WordPressのデフォルトのユーザロールで(Contributor、Author、Editor、Administratorと同様)、一般的に登録ユーザがWordPressサイトで公開された記事にコメントできるようにするために有効になっています。
通常Subscriberは、コメントを投稿する以外に自分のプロフィールを編集することしかできませんが、今回のケースではCVE-2021-25036を悪用して、特権を昇格させ、脆弱なサイトでリモートコードを実行し、サイトを完全に乗っ取ることができます。
WordPress管理者に早急なアップデートを要請
CVE-2021-25036を悪用して権限を拡大ためにすることとしては、パッチが適用されていないAll in One SEOバージョンを実行しているサイトにおいて実装されているすべての権限チェックを回避するために「1つの文字を大文字に変更する」という簡単な作業で実行できてしまいます。
このプラグインの中には、非常に機密性の高いものがあるため特に心配です。例えば、aioseo/v1/htaccessは、サイトの.htaccessを任意の内容で書き換えることができます
攻撃者はこの機能を悪用して、.htaccessのバックドアを隠したり、サーバー上で悪意のあるコードを実行したりすることができます
これらの深刻な脆弱性の影響を受けるAll In One SEOのバージョン(4.0.0から4.1.5.2まで)を使用しているWordPress管理者で4.1.5.3のパッチをまだインストールしていない方は、直ちにパッチを適用することが推奨されています。
サイトが使用しているAll In One SEOプラグインのバージョンを確認し、それが影響を受ける範囲内であれば、できるだけ早く更新することをお勧めします。
Comments